El S�bado 12 Febrero 2005 20:04, AntonioCadiz escribi�: > Me estoy volviendo algo paranoico y no s� mucho de esto. �Alguien sabe > c�mo puedo borrar estos archivos? > > A ver. Creo que he encontrado al culpable. Es el usuario 3287. Y por lo > visto, es m�s poderoso que root, porque no me deja borrar ninguno de > estos archivos. > > debian:/# ls -l / -R | grep 3287 > -rwxr-xr-x 1 3287 users 35464 Feb 9 15:09 login > -rwxr-xr-x 1 3287 users 39696 Mar 18 2002 ls > -rwxr-xr-x 1 3287 users 54152 Nov 24 2001 netstat > -rwxr-xr-x 1 3287 users 62920 Aug 25 2003 ps > -rwxr-xr-x 1 3287 users 31504 Nov 24 2001 ifconfig > -rwxr-xr-x 1 3287 users 26496 Jan 3 2002 syslogd > -rwxr-xr-x 1 3287 users 39696 Nov 29 2000 dir > -rwxr-xr-x 1 3287 users 59536 Jun 2 2001 find > -rwxr-xr-x 1 3287 users 31452 May 16 2002 md5sum > -rwxr-xr-x 1 3287 users 12340 Mar 2 2002 pstree > -rwxr-xr-x 1 3287 users 23560 Nov 29 2000 slocate > -rwxr-xr-x 1 3287 users 33992 Aug 25 2003 top > -rwxr-xr-x 1 3287 users 82628 Nov 29 2000 lsof > -rwxr-xr-x 1 3287 users 98776 Mar 22 2002 ttymon > > Y por lo visto, al tener el ls infectado, no me deja ver ciertos archivos. > > ls: /proc/177/exe: No such file or directory > ls: /proc/2/exe: No such file or directory > ls: /proc/3/exe: No such file or directory > ls: /proc/4/exe: No such file or directory > ls: /proc/5/exe: No such file or directory > ls: /proc/6/exe: No such file or directory > ls: /proc/7/exe: No such file or directory > ls: /proc/71/exe: No such file or directory > > <paranoico total> > Y, esto no s� si puede significar algo, pero aparece el 3287 en estos > archivos. Creo que es pura casualidad. > > -rwxr-xr-x 1 root bin 3287 Sep 9 14:29 find.cgi > -rwxr-xr-x 1 root bin 3287 Dec 28 20:02 find.cgi > -rw-r--r-- 1 root root 3287 Feb 25 2002 ioctl.c > </paranoico total> > > Cuando termine con esto voy a escribir un libro de misterio. Internet > s�lo me dice que reinstale el sistema. No me da m�s soluciones. �Ten�is > vosotros alguna?. Realmente esta vez necesito ayuda. > > -- > Zalu2 > Antonio Carrasco.
Hola. Lo normal es que una vez que haya ejecutado lo que queria borrara los binarios (en windows no se puede, XD) con lo que no tienes nada que hacer si has seguido utilizando el ordenador porque los inodos ya habran sido ocupados(supongo?). Que no puedas borrar ficheros siendo root....probablemente esten con atributo de solo lectura si tienes ext2/3 miralo con lsattr y si es asi lo cambias. De todas formas lo de siempre, aisla el sistema de los demas, quita el cable de red si lo tienes, haz imagen del disco para posterior analisis (lo veo dificil si has tardado mucho desde la intrusion, habra borrado registros y demas y si es listo con un wipe) y reinstala absolutamente todo ya que es problable que te hayan metido un modulito en el kernel o algo parecido..... Y tranquilo, que esto le pasa a casi todos.....XD (excepto a esos paranoicos de otro planeta) Saludos, Alvaro
